IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le gouvernement américain contre-attaque le Kremlin pour la campagne de piratage contre SolarWinds,
Six entreprises russes sanctionnées pour avoir soutenu les piratages

Le , par Stan Adkens

35PARTAGES

12  0 
Profitant d'une des faiblesses de la société de logiciels SolarWinds, des pirates informatiques ont pénétré dans les données des entreprises et institutions de son réseau de clients. Le problème qui a émergé des mises à jour du logiciel appelé Orion a touché les principales agences du gouvernement américain et des entreprises privées. Jeudi, les autorités américaines ont formellement accusé la Russie d'avoir soutenu l'un des pires piratages informatiques de l'histoire récente des États-Unis et ont imposé des sanctions destinées à punir cette action et d'autres actions récentes. Six entreprises russes ont été sanctionnées pour avoir soutenu les piratages – les autorités pensent qu’en privant le SVR du soutien de ces sociétés, elles réduiront leur capacité à mener certaines activités malveillantes.

Dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.


La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.

Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d'« acte d'imprudence ». Lors d'un appel aux journalistes jeudi, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.

« Nous avons observé absolument de l'espionnage », a déclaré Joyce. « Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».

L'avis conjoint de jeudi indique que les pirates soutenus par le SVR sont à l'origine d'autres campagnes récentes visant les installations de recherche covid-19, à la fois en les infectant avec des logiciels malveillants connus sous les noms de WellMess et WellMail et en exploitant une vulnérabilité critique dans le logiciel Vmware. Dans une déclaration coordonnée en juillet dernier, la Grande-Bretagne, les États-Unis et le Canada ont attribué ces attaques au groupe APT29, également connu sous le nom de Cozy Bear, qui, selon eux, opérait presque certainement dans le cadre des services de renseignement russes. « Nous condamnons ces attaques ignobles contre ceux qui font un travail vital pour lutter contre la pandémie de coronavirus », avait déclaré le directeur des opérations du NCSC, Paul Chichester.

Les cinq vulnérabilités critiques, en incluant la faille VMware, sont les suivantes :

  • CVE-2018-13379 Fortinet FortiGate VPN
  • CVE-2019-9670 Synacor Zimbra Collaboration Suite
  • CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
  • CVE-2019-19781 Contrôleur et passerelle de livraison d'applications Citrix
  • CVE-2020-4006 Accès à VMware Workspace ONE

Selon l'avis, les services de renseignement russes poursuivent leur campagne, notamment en ciblant les réseaux qui n'ont pas encore corrigé l'une de ces vulnérabilités critiques.

« L'atténuation de ces vulnérabilités est d'une importance capitale, car les réseaux américains et alliés sont constamment scannés, ciblés et exploités par des cyberacteurs parrainés par l'État russe », lit-on dans l'avis. La NSA, le CISA et le FBI encouragent vivement tous les acteurs de la cybersécurité à vérifier que leurs réseaux ne présentent pas d'indicateurs de compromission liés aux cinq vulnérabilités et aux techniques décrites dans l'avis, et à mettre en œuvre de toute urgence les mesures d'atténuation associées ».


Un représentant du fournisseur de VPN Pulse a noté que les correctifs pour CVE-2019-11510 ont été publiés en avril 2019. « Les clients qui ont suivi les instructions d'un avis de sécurité Pulse Secure publié à ce moment-là ont correctement protégé leurs systèmes et atténué la menace ». Au cours des dernières semaines, FortiNet a également souligné qu'il avait patché CVE-2018-13379 en mai 2019. Les fabricants des autres matériels et logiciels affectés ont également publié des correctifs.

Six entreprises russes sanctionnées pour avoir soutenu les activités de piratage du SVR

De hauts responsables américains de l’administration Trump, dont le secrétaire d'Etat Mike Pompeo, avaient précédemment suggéré que la campagne de piratage était menée par un groupe soutenu par la Russie. Tout comme les services de renseignement et de sécurité américains, la Maison-Blanche a déclaré jeudi dans un communiqué de presse que le SVR russe était responsable du piratage de SolarWinds qui a conduit à la compromission des principales agences fédérales et de centaines d'entreprises du secteur privé.

Le communiqué du Département du Trésor américain était accompagné de sanctions en représailles à ce qu'il a qualifié d'« activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprennent des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».

Les six sociétés et instituts russes concernés par les nouvelles sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.

« La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré Joyce à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».

Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».

Cependant, les responsables du gouvernement russe ont fermement nié toute implication dans la campagne de piratages contre SolarWinds.

Le gouvernement russe « cultive et coopte des pirates informatiques criminels » pour cibler des organisations américaines, a poursuivi le Département du Trésor dans sa déclaration. Un groupe, connu sous le nom d'Evil Corp, a été sanctionné en 2019. La même année, les procureurs fédéraux ont inculpé le pivot d'Evil Corp, Maksim V. Yakubets, et ont affiché une prime de 5 millions de dollars pour toute information menant à son arrestation ou à sa condamnation.

La campagne SVR est toujours en cours et exploite actuellement les exploits mentionnés ci-dessus. Dans un tweet publié jeudi, des chercheurs ont déclaré qu'ils observent un balayage Internet destiné à identifier les serveurs qui n'ont pas encore corrigé la vulnérabilité de Fortinet, que l'entreprise a corrigée en 2019. Le balayage pour les autres vulnérabilités est également probablement en cours.


« Les vulnérabilités contenues dans le communiqué d'aujourd'hui font partie de la boîte à outils du SVR pour cibler les réseaux des secteurs publics et privés. Nous devons rendre le travail du SVR plus difficile en les éliminant », a déclaré Rob Joyce.

La NSA, la CISA et le FBI recommandent aux personnes qui gèrent des réseaux, en particulier ceux qui n'ont pas encore corrigé l'une des cinq vulnérabilités de se rapporter à la dernière alerte du CISA, qui fournit des détails techniques détaillés sur la campagne de piratage en cours et les moyens de détecter et d'atténuer les compromissions.

Sources : Communiqué de presse, Avis de cybersécurité, Alerte du CISA

Et vous ?

Qu’en pensez-vous ?
Quel commentaire faites-vous des sanctions contre les sociétés russes qui aident le SVR dans ses cyberopérations ?

Voir aussi :

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »
Des pirates russes liés au Kremlin ont ciblé des installations de recherche sur les vaccins contre le covid-19 aux États-Unis, au Royaume-Uni et au Canada, selon les autorités du Royaume-Uni

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fagus
Membre éclairé https://www.developpez.com
Le 16/04/2021 à 13:50
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
5  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message
Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
Avatar de weed
Membre éprouvé https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 20/04/2021 à 23:40
Citation Envoyé par TotoParis Voir le message
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.
3  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 16/04/2021 à 16:35
Citation Envoyé par Fagus Voir le message
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
Oui, ça rappelle la Guerre Froide, où les pays européens servaient déjà de tampons entre les deux super-puissances... On est toujours les mêmes dindons de la farce, et on en redemande...
2  0 
Avatar de ormond94470
Membre habitué https://www.developpez.com
Le 21/04/2021 à 21:09
Apparemment les américains les russes les chinois peuvent accéder tranquillement à toutes les boîtes du monde, ça ne sert plus à rien de se protéger, levons toutes les restrictions !
2  0 
Avatar de TotoParis
Membre averti https://www.developpez.com
Le 20/04/2021 à 20:15
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
1  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 19/04/2021 à 21:42
Bonsoir,

Qu’en pensez-vous ?
Aux USA on ne se gène pas avec la vie privée ou le "secret industriel"

Quel est votre avis sur le fait que le FBI ait accédé aux réseaux privés pour mettre fin à l’intrusion de Hafnium ?
Si le FBI ne l'avait pas fait. On se demande qui l'aurait fait ?! Cela aurait pu être une porte "ouverte" , pour d'autres piratages de masse.

Avez-vous appliqué les mises à jour avril 2021 de Microsoft, qui corrige d’autres vulnérabilités d’Exchange qui ne sont pas corrigées par les mises à jour précédentes ?
La KB5001330 ? Oui .
0  0